Les organisations asiatiques sont actuellement la cible d’une nouvelle forme d’attaque par malware nommée SquidLoader, détectée par des chercheurs en sécurité. Prenant la forme de fausses pièces jointes dans des emails de phishing, ce loader de malware utilise des techniques de contournement avancées pour échapper aux radars de sécurité.
Découverte et fonctionnement du SquidLoader
Les méthodes d’attaque ciblant la Chine
Identifié pour la première fois par AT&T LevelBlue Labs fin avril 2024, SquidLoader se répand principalement à travers des campagnes de phishing. Ces emails malveillants contiennent des pièces jointes déguisées en documents Microsoft Word pour tromper les utilisateurs et exécuter le code malicieux. Une fois activé, le malware contacte un serveur distant pour télécharger des charges utiles de shellcode en deuxième phase, impliquant Cobalt Strike.
Techniques d’évasion complexe
SquidLoader intègre diverses méthodes visant à déjouer les analyses statiques et dynamiques, incluant des segments de code chiffrés, des codes inutilisés, l’obfuscation de Control Flow Graph (CFG), la détection de débogage, et l’utilisation de syscalls directs. Ces techniques lui permettent d’éviter la détection par le biais d’un enregistrement anticipé des comportements suspects par les solutions antivirus et d’autres mesures de protection.
Comparaison avec d’autres malwares et implications
Historique et évolution des loaders de malware
Le marché noir des cyber-menaces voit la multiplication des loaders de malware, comme le montre AT&T LevelBlue Labs en rapportant les dangers de Taurus Loader et de PikaBot. Ces loaders servent non seulement à propager des stealer d’informations, mais aussi à mettre en place une persistance via des modifications du registre Windows et à collecter des données sensibles.
Améliorations et prévention
Le domaine de la cybersécurité évolue constamment pour parer aux nouvelles menaces. Selon les révélations de Sekoia, les récentes mises à jour du malware PikaBot augmentent encore plus la difficulté de détecter et de neutraliser ces menaces. Un effort coordonné nommé Operation Endgame a même été nécessaire pour démanteler des infrastructures de botnets exploitant des malwares similaires. Près de 5000 victimes disséminées à travers divers continents ont été identifiées, prouvant l’universalité du risque.
Face à l’émergence de menaces sophistiquées comme SquidLoader, notre service de cybersécurité CyberCare offre des solutions innovantes pour protéger efficacement les réseaux et les données des entreprises contre les loaders de malware et autres vecteurs d’attaques numériques.
